Sağlık Poliçeleri ve Açık Rıza Sorunu
Sigorta sektöründe kişisel verilerin işlenmesi alanında en tartışmalı hususlardan biri özel nitelikli kişisel verilerin işlenmesi olup, uygulamada özellikle sağlık ve hayat sigortaları yönünden açık rıza koşuluna ilişkin gerekliliklerin titizlikle değerlendirilmesi gerekmektedir.
KVKK’nın 6. maddesi uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır.
Kural olarak özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Öte yandan, KVKK’da sağlık verilerinin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Ancak, sigorta şirketlerinin anılan istisna kapsamında açık rıza olmadan sağlık verilerini işleyip işleyemeyeceği konusu ise halen tartışmalıdır.
Sigortacılık Kanunu’nun sır saklama yükümlülüğünü düzenleyen 31/A maddesi uyarınca:
Sigortacılık Kanunu’nun uygulanmasında ve uygulanmasının denetiminde görev alanlar,
Sigortacılık Kanunu’na tâbi kuruluşların görevlileri ve yetkilileri,
Sigortacılık Kanunu’na tâbi kişiler ile bunların yanında çalışanlar ve dışarıdan hizmet alımı yoluyla sigortacılık sektöründe iş görenler,
(i) sıfat ve görevleri dolayısıyla öğrendikleri Sigortacılık Kanunu kapsamında faaliyet gösteren kişi ve kuruluşlar, (ii) bunların iştirakleri, kuruluşları ve (iii) sigorta sözleşmesi ile ilgili kişilere ait sırları, bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamaz, kendilerinin veya başkalarının yararlarına kullanamaz. Bu yükümlülük söz konusu sıfat ve görevlerin sona ermesinden sonra da devam eder.
Söz konusu sır saklama yükümlülüğünün kapsamı ve hukuki niteliği doktrinde tartışmalı olup, ilgili madde uyarınca gizlilik sözleşmesi yapılması kaydıyla ve sadece risk değerlendirmesi amacıyla kullanılmak üzere sigorta şirketi, reasürans şirketi ve emeklilik şirketleri arasında her bilgi ve belge alışverişi yapılabileceği de düzenlenmiştir. Dolayısıyla Sigortacılık Kanunu uyarınca kişilere ait sır niteliğindeki bilgilerin öğrenilmesi ve paylaşılabilmesi de belirli şartlar altında mümkün olabilmektedir. Öte yandan KVKK perspektifinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) uygulamalarının KVKK kapsamında daha mutlak bir sır saklama yükümlülüğünün arandığı düşünülmektedir.
Nitekim doktrinde de, özel sağlık ve hayat sigortası şirketlerinin veri koruma mevzuatı kapsamında sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurum ve kuruluşlar arasında sayılamayacağını yönünde bir görüş bulunmaktadır. Bu görüşü savunanlar, aksi görüşün kabulü halinde:
kişisel sağlık verilerinin bu şirketler tarafından açık rıza aranmaksızın işlenebilmesinin ve dolayısıyla ilgili kişinin sağlık verilerinin üçüncü kişilere geçme riskinin söz konusu olacağını,
ilgili kişinin sağlık verilerinin hassas veri niteliği de dikkate alındığında bu risk gerçekleştiği takdirde ilgili kişinin temel hak ve özgürlüklerinin önemli ölçüde zarar göreceğini,
ilgili kişinin açık rızası olmaksızın sağlık ve cinsel hayata ilişkin verilerinin işlenebilmesinin ilgili kişiler bakımından ayrımcılık da dâhil olmak üzere birçok soruna yol açabileceğini ve
KVKK’da benimsenen amaçlardan özel nitelikli kişisel verilerin bu niteliğe sahip olmayan verilere kıyasla daha sıkı şartlarda korunması amacından da uzaklaşılmış olunacağını
ileri sürmekte; bu nedenle özel sağlık ve hayat sigortası şirketlerinin kişisel sağlık verisi işlemelerini ilgili kişinin açık rızası çerçevesinde gerçekleştirmesi gerektiğini vurgulamaktadır.
Öte yandan, doktrinde ve Kurul kararlarında da belirtildiği üzere, açık rızanın verilmesinde özgür irade esas olup, açık rızanın şarta bağlanması kabul görmemektedir. Bilhassa sağlık ve hayat sigortaları özelinde, hizmetin mahiyeti gereği açık rıza şartına bağlanması söz konusu olabilmektedir. Bu durum bir yandan pratikte hizmetin sunulması adına bir ön koşul olarak ele alınmakta; diğer yandan veri sahibinin açık rıza verirken ortaya koyduğu hür iradeyi sakatlayan bir kurgu oluşturmaktadır.
Bununla beraber Kurul kararlarında, özel nitelikli kişisel verilerin işlenmesini gerektiren hizmetler yönünden veri sahibinin açık rızasının alınmasının hizmetin şarta bağlanması olarak nitelendirilmediği ve bu uygulamaya alan açtığı görülmektedir.
Gerçekten de bir sigorta şirketinden bireysel emeklilik sözleşmesi yaptıran veri sahibinin poliçe bilgilerine ulaşmak için bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı olayda Kurul, 20/04/2021 tarihli ve 2021/389 sayılı kararında veri sorumlusunun anılan kişisel verilerin sözleşmenin kurulması veya ifasıyla ilgili olarak işlenmesi gerektiğini, dolayısıyla işlemenin açık rıza dışında başka bir hukuki nedene dayandığını gözeterek hizmetin açık rıza şartına bağlanmasından söz edilemeyeceğine kanaat getirmiştir. Kurul, hizmetin özelliğini düşünerek açık rızaya dayanmayan bir işleme amacı için açık rıza alınmasını uygun görmüştür. Öte yandan, Kurul’un yerleşik kararları, açık rızaya tabi olmayan durumlarda (bir başka deyişle farklı bir hukuki nedene dayanılabilecek durumlarda) açık rıza istenmesinin veri sahiplerini yanıltıcı nitelikte olduğu yönündedir. Bu sebeple Kurul’un ilgili veri sorumlusuna yaptırım uygulayabildiği durumlar da bulunmaktadır. Ancak bahsi geçen kararda Kurul tarafından açık rıza alınmasına gerek olmadığı yönünde açık bir görüş de beyan edilmemiştir.
Yine, Kurul’un 03/09/2020 tarihli ve 2020/667 sayılı kararı uyarınca, veri sahibinin sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık poliçesini yeniletmek istediğinde veri sorumlusunun kendisinden açık rıza almak istediği bir olayda Kurul, sağlık sigortası poliçesinin özel nitelik kişisel veri niteliğini haiz olması nedeniyle açık rıza alınması gerektiğinden hareketle şikâyete konu eylemlerin KVKK’ya aykırılık teşkil etmediğine kanaat getirmiştir. Kurul’un bu değerlendirmesi, ilgili poliçeler özelinde sağlık verilerinin işlenmesi için bir ön şart olarak açık rıza istenmesine izin verildiği şeklinde de yorumlanabilmektedir. Ancak bu yorum, açık rızaya ilişkin genel ilkelere uygun değildir.
Tüm bu açıklamalar kapsamında özel sağlık ve hayat sigortaları bakımından sigorta şirketlerinin riski azaltmak adına ilgili veri sahiplerinin açık rızasını alarak ilerlemesi önerilebilecektir. Öte yandan, veri sahibinin açık rızasını her zaman geri alması riski bulunduğu ve Kurul’un buna yönelik kararlarının da henüz her somut olayda değerlendirilebilecek şekilde bir emsal teşkil etmediği not düşülmelidir. Kurul’un önüne gelen olaylarda bu yönde açık bir yönlendirme yapmadığı, uygulamanın halihazırda açık rıza alınarak ilerleme yönünde olduğu açıktır.
Ancak yakın zamanda sağlık verilerinin işlenmesine ilişkin yeni düzenlemelerin yapılacağı ve KVKK’nın ilgili maddelerinin değişeceği düşünülmektedir. Sektörde bilinen değişiklik çalışması ile, özetle, sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler arasındaki ayrımın kaldırılabileceği ve açık rıza dışında yeni hukuki nedenlerin de KVKK’ya eklenebileceği anlaşılmaktadır. Açık rızanın istisnalarını çok sınırlı şekilde ele alan mevcut KVKK düzenlemelerinin kaldırılmasının önerildiği bilinmektedir. Bu düzenlemelerin yerine, değişiklik çalışması ile, aşağıdaki hallerde açık rızası aranmaksızın sağlık verileri dahil tüm özel nitelikli kişisel verilerin işlenebilmesi planlanmaktadır:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi için zorunlu olması,
İstihdam, iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik kişisel verileri işlemesi.
Söz konusu çalışmalar ve düzenleme önerileri ışığında, yakın zamanda açık rızaya tabi veri işleme koşullarına yönelik uygulamanın değiştirilmesi gündeme gelebilecektir. Getirilecek düzenlemeler çerçevesinde AB Genel Veri Koruma Tüzüğü’nden (“GDPR”) daha geniş kapsamda bir açık rıza istisnası tanımlanmış olabilecektir. GDPR sağlık verilerinin işlenmesi bakımından KVKK’ya benzer şartlar düzenlemiş olsa da ülkelerin GDPR kapsamında sigorta şirketlerine yönelik düzenlemeleri GDPR’ın verdiği yetkiye göre farklılaşabilmektedir. Örneğin, Hollanda özelinde, sigorta şirketleri ya da sigorta acentesi olarak hareket eden finansal hizmet sağlayıcılarının, sigortalının itirazı olmadığı müddetçe sigortalanacak riskin değerlendirilmesi ya da poliçenin uygulanması veya yönetilmesi ile uygulanmasına destek olunması amaçlarıyla sağlık verisi işlemesi durumunda sağlık verisi işlenmesine ilişkin kısıtlamalara tabi olmayacağı düzenlenmektedir. Belçika’da ise daha evvel sigorta şirketlerinin sağlık verilerini işleyebilmesine yönelik bir değişiklik teklifi yapılmış olmakla beraber, bu teklif geri çekilmiştir.
Veri Paylaşımı ve Yurtdışı Aktarımı
KVKK’nın 9. maddesi kapsamında özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler, kural olarak veri sahibinin açık rızası ile yurt dışına aktarılabilir. Bunun istinaları, (i) veri sorumlusunun Kurul tarafından belirlenen yeterli koruma sağlayan ülkelere yapılan aktarımlar ve (ii) Kurul’dan yurt dışı aktarım için izin alınmasıdır. Ne var ki, Kurul henüz güvenli ülke listesi yayınlamamıştır ve veri aktarımı için izin prosedürü şirketler için uzun ve yorucu bir süreç olabilmektedir. Ayrıca, izin süreci tamamlanana ve aktarıma izin verilene kadar yurt dışı aktarımların açık rıza ile yapılması da şarttır.
Global şirketler topluluğunun bir parçası olan tüm şirketler açısından yurt dışı aktarımı tüm süreçlerinde yerleşik bir durum olarak karşımıza çıkabilmektedir. Bu durum, benzer sigorta şirketleri açısından da geçerlidir. Ayrıca, özellikle sigorta şirketleri ile yurtdışındaki reasürörleri arasındaki veri paylaşımları da hassasiyetle yaklaşılması gereken bir husustur. Mevcut düzenlemeler ışığında Kurul’un yazılı izni olmaksızın bu aktarımlar için açık rıza alınması gerektiği açıktır.
Öte yandan, 12 Mart 2021 tarihinde açıklanan ve Hazine ve Maliye Bakanlığı koordinasyonunda çalışmaları yürütülen Ekonomi Reformlarına ilişkin çalışma takvimini öngören 23 Mart 2021 tarihli Eylem Planı’nın 7.3.g maddesi uyarınca, GDPR’ın yurtdışına veri aktarılmasına yönelik hükümleri esas alınarak KVKK’da gerekli değişikliklerin yapılacağı belirtilmiştir. Sektörde bilinen değişiklik çalışması kapsamında, yurtdışı veri aktarımına ilişkin de yeni düzenlemeler öngörülebilecektir. Söz konusu önerilerde, hakkında yeterli korumayı haiz ülkelerin belirlenmesine ilişkin esasların, yeterlilik kararı bulunmayan ülkelere yapılacak veri aktarımının hangi güvencelere tabi olarak gerçekleştirilebileceğinin ve uygun güvencenin de bulunmaması halinde veri aktarımının tabi olacağı kuralların etraflıca düzenlendiği görülmektedir. Bu kapsamda, yakın zamanda yurtdışına veri aktarımı prosedürünün de değişebileceği söylenebilir. Getirilmek istenen düzenlemeler kapsamında Kurul’dan izin alınmaksızın Kurul tarafından öngörülecek sözleşmesel koşulların veri alan ve veri aktaran arasında sözleşmesel olarak kabul edilerek bunun Kurul’a bildirilmesinin de yeterli bir güvence olarak kabul edilebilir.
Veri Güvenliği
KVKK’nın 12. maddesi uyarınca tüm veri sorumluları veri güvenliğini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumluları, veri işleyenlerinin de bu önlemleri almasını temin etmekle yükümlüdür.
Özellikle sağlık sigortaları ve hayat sigortaları kapsamında elde edilen ve işlenen kişisel veriler açısından Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı kararı da göz önünde bulundurulmalıdır. Alınan karar, sağlık verileri gibi özel nitelikli verilerin işlenmesine ilişkin ek güvenlik tedbirlerini de düzenlemektedir. Karar kapsamında özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi esastır. Ayrıca, bu verilere erişebilecek kişiler bakımından alınması gereken ek idari tedbirler, bu verilerin işlendiği, muhafaza edildiği ve erişildiği elektronik ve fiziksel ortamlar bakımından alınması gereken tedbirler ile bu verilerin aktarımında dikkat edilmesi gereken tedbirler detaylandırılmaktadır.
Yine, kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere yayımlanan 2019/12 Sayılı Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi uyarınca, karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla birtakım tedbirlerin alınması uygun görülmüştür. Bu tedbirler arasında, özellikle sağlık verisi gibi kritik bilgi ve verilerin yurtiçinde güvenli bir şekilde depolanacağı öngörülmüştür. Benzer şekilde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda yayımlanan 10.07.2020 tarihli Bilgi ve İletişim Güvenliği Rehberi de veri güvenliği denetimi kılavuzlarıyla beraber kapsamlı bir veri güvenliği yapısı oluşturmuştur. Her ne kadar ilgili Genelge çerçevesinde doğrudan uygulanabilecek bir yaptırım olmasa da sigorta şirketleri açısından özellikle kritik verilere yönelik tedbirlerin ve Dijital Dönüşüm Ofisi’nin bu çerçevede hazırladığı rehberlerin göz önünde bulundurulması yararlı olacaktır.
KVKK kararlarında da sigorta şirketleri açısından diğer şirketlere nazaran daha basiretli ve dikkatli hareket etmelerinin, özellikle hassas nitelikli kişisel veriler bakımından ek tedbirler almalarının beklenildiği görülmektedir.
Gerçekten de Kurul, 09.07.2020 tarih ve 2020/532 sayılı kararında, veri sorumlusunun bilgi sistem destek hizmeti aldığı hizmet sağlayıcısında meydana gelen sistemsel bir hata sonucu akıbet dosyası seçen sorgunun hatalı çalışması nedeniyle Otomatik Katılım Sistemi (OKS) kapsamında kendisine bağlı 61 şirketin müşterisi olan 367 ilgili kişinin kişisel verilerini içeren akıbet dosyalarını söz konusu hata sebebiyle yanlış alıcılara gönderdiği bir olayda, ihlale sebep olan hatanın istisnai bir durum olması ve uygulamanın ana fonksiyonları ile doğrudan ilişkili olmaması durumu ihlal bildiriminde belirtilse de ‘sigortacılık işlemi yürüten bir kuruluşun bilgi sistemleri güvenliğinde daha dikkatli olması gerektiğinden’, veri ihlaline sebep olan sistemsel hatanın işlem yayına alınmadan evvel düzeltilmesi gerektiğin vurgulamıştır.
Kurul, 24.11.2020 tarih ve 2020/905 sayılı kararında da, veri sorumlusu konumundaki bir sigorta şirketinin internet sayfasının bulunduğu test sunucusunun siber saldırıya uğradığı bir olayda alınabilecek pek çok tedbiri değerlendirmiş ve kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği kanaatine ulaşmıştır. Bu karar da işlenen verinin niteliği ve hassasiyeti gözetilerek şirketler tarafından alınması beklenen önlemlerin daha sıkı olabileceğini açıkça göstermektedir.
Dolayısıyla, sigorta şirketlerinin hem kendileri, hem acenteleri ve diğer destek sağlayıcıları da dahil tüm iş ortaklarının alması gereken önlemleri işlenen kişisel verilerin niteliğini de gözeterek belirlemesi ve bu önlemlerin alındığını denetlemesi son derece önemlidir.
Siber Güvenlik Poliçeleri
Sigorta sektöründe veri hukukunu gündeme sıkça gelmesine sebep olan bir yenilik ise giderek yaygınlaşmaya başlayan siber güvenlik poliçeleridir. Siber güvenlik poliçeleri, uygulamada kimlik hırsızlığından bilgi güvenliği zararlara, ödeme araçlarının kötüye kullanımından veri koruma hasarlarına kadar geniş bir siber güvenlik riski yelpazesini kapsamaktadır. Öğretide ve uygulamada tartışmalı olmakla beraber, geniş kapsamlı siber sigorta poliçelerinin şantaj ve siber fidye zararlarını (cyber extortion cover) da karşıladığı görülmektedir. Bazı sigorta şirketleri, fidyeleri kapsayan bu tür siber sigortaları “ticari siber güvenlik sigortası” olarak adlandırmaktadır ve çoğu sigorta şirketinin bu gibi bir kapsam için genellikle bazı limitler öngördüğü bilinse poliçeler fidyeleri de kapsayabilmektedir. Türkiye'de bu poliçeler henüz yaygın olmamakla beraber pek çok global şirket Türkiye iştirakleri vasıtasıyla bu gibi poliçelerden yararlanabilmektedir.
Bu poliçeler kapsamında sigorta şirketleri ihlal durumlarını ve risklerini sigortalılar ile birlikte değerlendirmek üzere danışmanlık desteği de verebilmekte ve ihlallerin neden olabileceği zararların sigorta kapsamında karşılanması için sigorta şirketlerine önleyici bildirimlerin yapılmasını da gerektirebilmektedir.
Siber güvenlik poliçeleri kapsamında sigortalanan şirketlerden de birtakım veriler toplanması gerekmekte olup, bu verilerin hukuka uygun şekilde toplanması ve sigorta şirketlerine aktarımının mevzuata uygun yürütülmesi büyük önem arz etmektedir. Sigorta şirketlerinin veri aktarım süreçlerinin hukuka uygun şekilde yürütülmemesi nedeniyle uğrayabilecekleri zararları sigortalı şirketten tazmin edebileceği yönünde bir taahhütname alınması değerlendirilebilecektir.
Sonuç
Yukarıdaki açıklamalar kapsamında sigorta şirketlerinin veri işleme süreçlerine hassasiyetle yaklaşılması gerektiği, işlenen verilerin özelliği gereği her somut olaya özgü hukuki değerlendirme yapılmasının uygun olacağı değerlendirilmektedir. Sigorta şirketlerinin finansal gücü de göz önünde bulundurulduğunda, KVKK ihlalleri neticesinde uygulanabilecek yaptırımların üst sınırlara yaklaşabildiği her zaman göz önünde bulundurulmalıdır. Bu kapsamda, sigorta şirketlerine veri işleme süreçlerinde, veri aktarım faaliyetlerinde ve veri güvenliğine ilişkin aldıkları tedbirlerde büyük bir hassasiyet göstermeleri önerilmektedir.
Ayrıca, özellikle veri işlemenin dayanağı açısından sektörel düzenlemelerin de göz önünde bulundurulması gerekmektedir. KVKK kapsamında yapılan değerlendirmelere ek olarak sigorta sözleşmelerine, sigorta sözleşmesine taraf olan sigorta ettiren ve sigorta şirketlerine, sigorta sözleşmesinden doğrudan veya dolaylı menfaat sağlayan sigortalı, lehtar ve diğer üçüncü kişilere ilişkin veriler ile yanlış sigorta uygulamaları dahil olmak üzere risk değerlendirmesine esas tüm veriler sigortacılık verileri olarak değerlendirilmektedir ve Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu ve Sigorta Bilgi ve Gözetim Merkezi’nin özel düzenlemelerine de tabidir. Bu verilerin hukuka uygun şekilde elde edilmesi ve mevzuatın gerektirdiği şekilde hukuka uygun olarak raporlanması/paylaşımı açısından da sigorta şirketlerinin sorumluluğu bulunmaktadır.
Zeynep Berfin Ekinci’ye katkılarından dolayı teşekkür ederiz.
-----
Sigorta ve Reasürans
Aysel Korkmaz Yatkın, Begüm Yavuzdoğan Okumuş, Yalçın Umut Talay & Kardelen Özden
